ทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ ค้นพบมัลแวร์กลุ่ม wiper ตัวใหม่ที่มีความซับซ้อนร้ายกาจขึ้นกว่าเดิม ชื่อ StoneDrill เช่นเดียวกับ wiper ที่ก็ดังไม่น้อยชื่อ Shamoon ที่ได้ทำลายล้างทุกอย่างบนเครื่องคอมพิวเตอร์ที่เป็นเหยื่อ
คราวนี้ StoneDrill มาพร้อมกับความร้ายกาจเหนือชั้นด้วยเทคนิคขั้นสูงที่สามารถต่อต้านการถูกตรวจจับ รวมทั้งทูลจารกรรมในคลังสรรพาวุธ (arsenal) นอกจากเป้าหมายโจมตีในแถบตะวันออกกลางแล้ว ก็ยังตรวจพบเป้าหมายของ StoneDrill อีกหนึ่งแห่งในยุโรป ที่ wiper ที่ถูกใช้ในตะวันออกกลางมิได้ปรากฎหรือถูกพบมาก่อนหน้านี้
เมื่อปี 2012 Shamoon (หรือรู้จักกันอีกชื่อว่า Disttrack) Wiper สร้างความน่ากลัวด้วยการเจาะเข้าสกัดการทำงานของเครื่องคอมพิวเตอร์ในบริษัทน้ำมันแถบตะวันออกกลางได้ถึง 35,000 เครื่อง การจู่โจมนี้ทิ้งหายนะไว้ให้ 10% ของน้ำมันสำรองของโลกตกอยู่ในความเสี่ยง ถือเป็นกรณีที่โดดเด่นมาก และหลังจากเหตุการณ์นี้ตัว actor ผู้ก่อการก็กลบดานหายเงียบไปเลย ต่อมาช่วงปลายปี 2016 พบว่าได้กลับมาในคราบ Shamoon 2.0 – เป็นเคมเปญชั่วร้ายที่ยิ่งขยายต่อยอดหนักขึ้นกว่าเดิม โดยปรับอัพเดท จากมัลแวร์เวอร์ชั่นปี 2012 อย่างหนักหน่วง
ขณะที่ทำการสำรวจตรวจสอบการจู่โจมเหล่านี้ นักวิจัยของทางแคสเปอร์สกี้ แลป ก็ได้ค้นพบโดยบังเอิญมัลแวร์ที่ถูกสร้างขึ้นมาใน รูปแบบสไตล์ เดียวกันกับ Shamoon 2.0 และในเวลาเดียวกัน ก็มีความแตกต่างออกไปจาก และมีความสลักซับซ้อนมากกว่า Shamoon เราเรียกมันว่า StoneDrill
ยังไม่เป็นที่รู้แน่ชัดว่า StoneDrill แพร่กระจายตัวอย่างไร แต่เมื่อใดที่เข้ามาอยู่บนเครื่องเหยื่อได้ มันจะฉีดพ่นตัวเองเข้าไป memory process ของบราวเซอร์ที่ยูสเซอร์ชอบใช้ ระหว่าง process จะใช้สองเทคนิคในการต่อต้าน emulation ซึ่งเป็นเทคนิคที่ถือได้ว่าซับซ้อนก้าวหน้า มีหน้าที่หลอกล่อโซลูชั่นความปลอดภัยที่ติดตั้งไว้ จากนั้น มัลแวร์จะเริ่มต้นทำลายดิสก์ไฟล์ของเครื่องนั้นๆ ตอนนี้ ทางทีมสามารถระบุเป้าหมายของ StoneDrill wiper ได้สองแห่งด้วยกัน หนึ่งอยู่ที่ตะวันออกกลาง และอีกหนึ่งอยู่ที่ยุโรป
นอกจาก wiping module ของมัลแวร์ StoneDrill ที่ถูกพบโดยนักวิจัยของแคสเปอร์สกี้ แลปไปแล้วนั้น ต่อมาได้พบ backdoor อีกด้วย และชัดเจนว่าพัฒนาขึ้นโดยผู้เขียนโค้ดเดียวกัน เพื่อวัตถุประสงค์ในการก่อจารกรรม โดยผู้เชี่ยวชาญพบคอมมานด์และคอนโทรลพาเนล 4 ตัวที่ผู้ก่อจารกรรมใช้ในปฏิบัติการจู่โจมเป้าหมายที่ยังไม่ทราบจำนวน โดยอาศัย StoneDrill backdoor นั่นเอง
ที่มา : Kaspersky
